Cada vez es más común escuchar sobre nuevas amenazas cibernéticas que ponen en riesgo la seguridad de nuestros datos personales y corporativos. Una de las tácticas recientes más preocupantes es la explotación del túnel de Cloudflare por parte de hackers para lanzar campañas de malware. Investigadores han alertado sobre un incremento en el uso indebido del servicio Cloudflare Tunnel por parte de actores malintencionados para llevar a cabo campañas de malware, centradas principalmente en la distribución de troyanos de acceso remoto (RAT).
El servicio Cloudflare Tunnel permite redirigir el tráfico a través de un túnel cifrado, facilitando el acceso a servicios y servidores locales en Internet sin necesidad de exponer direcciones IP. Esto proporciona una mayor seguridad y comodidad, eliminando la necesidad de abrir puertos públicos o configurar conexiones VPN.
TryCloudflare permite a los usuarios crear túneles temporales a servidores locales y probar el servicio sin necesidad de una cuenta de Cloudflare. Cada túnel genera un subdominio temporal y aleatorio en el dominio trycloudflare.com, que enruta el tráfico a través de la red de Cloudflare hasta el servidor local.
Los actores malintencionados han explotado esta función para obtener acceso remoto a sistemas comprometidos y evadir la detección.
Detectada por primera vez en febrero, esta actividad cibercriminal utiliza el servicio gratuito TryCloudflare para propagar varios RAT, entre ellos AsyncRAT, GuLoader, VenomRAT, Remcos RAT y Xworm.
Conoce más sobre: Hackers usan Fallo en CrowdStrike para Propagar Malware Remcos RAT
Recientemente, se ha observado una campaña de malware dirigida a organizaciones en sectores legales, financieros, manufactureros y tecnológicos. Esta actividad utiliza archivos .LNK maliciosos alojados en el dominio legítimo TryCloudflare.
Los atacantes atraen a sus víctimas con correos electrónicos relacionados con temas impositivos que incluyen URLs o archivos adjuntos, los cuales llevan a la carga útil LNK. Al ejecutarse, esta carga útil desencadena scripts BAT o CMD que a su vez implementan PowerShell.
En la etapa final del ataque, se descargan instaladores de Python para la carga útil definitiva. Por otro lado, se ha observado que una ola de distribución de correo electrónico iniciada el 11 de julio distribuyó más de 1.500 mensajes maliciosos, mientras que una ola anterior, el 28 de mayo, contenía menos de 50 mensajes.
Alojar archivos LNK en Cloudflare ofrece varios beneficios, como hacer que el tráfico parezca legítimo debido a la reputación del servicio. Además, la función TryCloudflare Tunnel proporciona anonimato, y los subdominios que sirven LNK son temporales, lo que dificulta su bloqueo efectivo.
En definitiva, el servicio es gratuito y fiable, eliminando la necesidad de que los ciberdelincuentes cubran los costos de configurar su propia infraestructura. Si se emplea la automatización para evadir los bloqueos de Cloudflare, estos túneles pueden ser abusados incluso para operaciones a gran escala.
Te podrá interesar leer: ¿Por qué tu Empresa debe contar con CDN?
Para protegerse contra este tipo de amenazas, se recomienda seguir una serie de prácticas de seguridad:
El uso indebido del servicio Cloudflare Tunnel por parte de actores de amenazas subraya la importancia de mantenerse vigilante y proactivo en la ciberseguridad. Al comprender cómo operan estos ataques y adoptar medidas de protección adecuadas, puedes reducir significativamente el riesgo de ser víctima de estas sofisticadas campañas de malware. Mantente informado y preparado para defender tus activos digitales contra las amenazas emergentes en el panorama cibernético.